Auftragsdatenverarbeitung außerhalb der EU

Die Regelungen für eine Auftragsdatenverarbeitung nach dem BDSG werden hinlänglich praktiziert. Hier sind insbesondere die Verarbeitung der Daten innerhalb der EU durch entsprechende Regelungen abgedeckt. Was aber passiert, wenn ein Dienstleister außerhalb der EU genutzt wird und als Funktionsträger die Daten des Unternehmens verarbeitet? Hierzu zählen beispielsweise Dienste wie Amazon oder Google oder auch das bekannte CRM System Salesforce, die Ihre Daten häufig außerhalb der EU speichern und weiterverarbeiten.

Vor dem Abschluss eine Vertrages zur Auftragsdatenverarbeitung ist zu empfehlen, zuerst die Privacy Policies der Unternehmen zu lesen. Sofern diese Bestandteil eines Vertrages sind oder werden sollen, sind dort bereits Hinweis auf die Verarbeitung der Daten außerhalb der EU zu finden.

Privacy Shield als Nachfolger für Safe Harbour

Explizit für US Unternehmen bestand darüber hinaus ein Abkommen zwischen der EU und den USA, das veraltete Safe Harbour Abkommen. In diesem wurde geregelt, wie der Datenschutz der EU zu erfüllen ist. Unternehmen, die sich dieser Vereinbarung freiwillig unterwerfen wollten, konnten sich diesbezüglich zertifizieren lassen.

Die Entsprechende Liste des US Handelsministeriums kann im Web unter http://safeharbor.export.gov/list.aspx eingesehen werden. Dort können Sie prüfen, ob das zu beauftragende Unternehmen zertifiziert ist und wie lange diese noch Gültig ist.

Am 8.Oktober 2015 wurde  das Safe Harbour Abkommen durch den europäischen Gerichtshof aufgrund unzureichender Vereinbarungen für nichtig erklärt. Damit wurde für viele Vereinabrungen die Rechtsgrundlage entzogen.

Nähere Informationen hierzu finden Sie auf der Webseite des Bundesdatenschutzbeauftragten unter https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/SafeHarbor.html.

Anstelle des Safe Harbour Abkommens wurde 2016 das „Privacy Shield“ Abkommen abgeschlossen, welches die Beanstandungen des bisherigen Abkommens kompensieren soll. Auch hier müssen sich Unternehmen wieder zertifizieren lassen. Neu ist insbesondere, dass die Gültigkeit der Zertifizierung durch das beauftragte Unternehmen jährlich nachgewiesen werden muss.

Die zertifizierten Unternehmen können wiederum auf der Webseite https://www.privacyshield.gov eingesehen werden.

EU Vertragsbedingungen für Auftragsdatenverarbeitung

Offen bleibt aber, wie ein Vertrag mit einem Unternehmen in einem Drittstaat abgeschlossen werden soll. Hier hat die EU entsprechende Vorlagen bereitgestellt, die sich in jedem Vertrag wieder finden sollten (http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm ). Entscheidend ist dabei die Auswahl der richtigen Vorlage.

Leider basieren die Vorlagen noch auf den bisherigen Datenschutzregelungen der EU, die bekanntlich durch die DSGVO Regelungen abgelöst werden. Es ist daher davon auszugehen, dass diese Vertragsregelungen nur noch eine Übergangszeit ihre Gültigkeit behalten und dann durch neu abzuschließende Verträge abgelöst werden müssen.

Auch die Verbindglichkeit des Privacy Shield Abkommens ist noch nicht abschließend geklärt, insbesondere nach dem Regierungswechsel in den USA.

Hohe Komplexität

Insgesamt ist das Thema zum Abschluss eines Vertrages zur Auftragsdatenverarbeitung hoch komplex. Nützliche Hinweise, wie im Einzelfall zu verfahren ist finden sich auf der Webseite des Landesdatenschutzbeauftragten NRW unter https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/InternationalerDatenverkehr/index.php oder auf https://www.datenschutz-notizen.de/sind-die-eu-standardvertragsklauseln-noch-wirksam-10-punkte-die-jetzt-beachtet-werden-sollten-0912785/

 

IT-Sicherheitsgesetz betrifft fast alle Firmen! Sind Sie gut aufgestellt?

Am 25. Juni 2015 ist das neue „IT-Sicherheitsgesetz“ (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) vom Bundestag beschlossen worden. Zielrichtung des Gesetzes sind insbesondere die Betreiber kritischer Infrastrukturen. Den Begriff „kritisch“ hat der Gesetzgeber durch diverse Ergänzungen versucht einzugrenzen und vermittelt den Eindruck, dass ein großer Teil der Kleinunternehmen nicht betroffen sind.

Dies ist aber ein Trugschluss, denn mit der Einführung des neuen Gesetzes wurde auch das Telemediengesetz angepasst und dieses findet Anwendungen für fast alle Unternehmungen, die Webseiten gewerblich betreiben!

§13 TMG (Auszug der geänderten Fassung)

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen EInrichtungen möglich ist und
  2. diese gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1  müssen den Stand der Technik berücksichtigen….

Wer glaubt, dass die wirtschaftliche Zumutbarkeit ein Schlupfloch ist irrt, da die zu treffenden Maßnahmen häufig keine hohen Investitionen sondern organisatorische Änderungen erfordern. Schützen Sie sich, bevor Sie ins Visier geraten.

Wir unterstützen Sie hierbei gerne.

Continuity Management – Reduzieren Sie Ihr Ausfallrisiko und hohe Folgekosten

Business Continuity Management ist ein Krisen- oder Notfallmanagement mit dem Ziel, Geschäftsprozesse in Ihrem Unternehmen auch bei Auftreten von schwerwiegenden, unerwarteten Ereignissen (Krisen, Katastrophen) nicht oder nur kurz zu beinträchtigen. Damit wird die wirtschaftliche Existenz Ihres Unternehmens auch in diesen Fällen nicht gefährdet. Business Continuity Management ist eng mit dem IT Service Continuity Management verknüpft, welches im Fehlerfall in der IT die Bereitstellung der Services sicherstellen soll.

Als kapitalorientiertes Unternehmen sind Sie z.B. durch KonTraG (Kontroll- und Transparenzgesetz) verpflichtet worden, ein Risikomanagement zu implementieren. Auch die Basel II Regelungen zur Kreditvergabe implizieren diese Risikobetrachtung, welche eine Krisenvorsorge beinhalten sollte. Da alle Unternehmensprozesse zu immer größeren Teilen durch Informationstechnologie sichergestellt werden, sollten Sie insbesondere im IT-Bereich die Risiken kennen und Notfallpläne parat haben. Verlassen Sie sich nicht darauf, dass Ihre IT ein funktionierendes Backup macht oder eine unterbrechungsfreie Stromversogung installiert ist. Die Praxis sieht in der Regel ganz anders aus.

Möchten Sie sich hier verbessern, dann nutzen Sie unsere Erfahrungen. Entwickeln Sie mit uns zusammen neue Vorgehensweisen, die kurzfristig zum Ziel führen. Werden Sie Referenzkunde, profitieren Sie von gemeinsamen Projekten und setzen Sie Standards.

Verbessern Sie Ihren Datenschutz – Die Aufsichtsbehörden kontrollieren umfangreich

Vermeiden Sie Wettbewerbsnachteile und hohe Bußgelder

In immer mehr Verbrauchermagazinen (Fernsehen und Presse) werden die Kunden über ihre Datenschutzrechte aufgeklärt. Gut informiert wenden Sie sich anschließend an Unternehmen und bitten um Nachweise, Bestätigungen, Löschungen oder weitere Auskünfte. In vielen Fällen sind die Unternehmen hierauf nicht vorbereitet und agieren nach dem Prinzip „Wir tun mit Ihren Daten nur unser Bestes“.

Weiterlesen

Wir sind Mitglied der Gesellschaft für Datenschutz und Datensicherheit e.V.

Datenschutz und Prozessmanagement aus einer Hand

Seit 2012 sind wir Mitglied der Gesellschaft für Datenschutz und Datensicherheit e.V. Wir erweitern unsere Kompetenz im Bereich Datenschutz in Unternehmen, da immer mehr Fragen in diesem Themenkomplex durch Unternehmen an uns herangetragen werden. Haben Sie bereits einen Datenschutzbeauftragten oder kennen Sie die Risiken, die Sie absichern sollten ? Kennen Sie die neuen Verpflichtungen des Bundesdatenschutzgesetzes und der geplanten EU Novellen?